LocalSystemに特権を昇格できる脆弱性でマイクロソフトがアドバイザリ
マイクロソフトは、認証されたユーザーがLocalSystemに特権を昇格できる脆弱性についてアドバイザリを公表した。
NetworkServiceやLocalServiceのアカウントのコンテキストで、細工されたコードを実行した場合、同様のサービスで実行している別のリソースに対するアクセス権を取得する可能性あり、そのプロセスの中に、NetworkServiceやLocalServiceのプロセスを、システム内のほとんどすべてのリソースへアクセスできるLocalSystemへ特権を昇格できる機能がある。
Windows VistaやWindows XP Professional SP2、Windows Server 2008、同2003などが影響を受けるおそれがあり、IISやSQL Serverなど認証されたコンテキストでユーザーが指定するコードを実行できる場合には注意が必要となる。
同社によると、脆弱性を悪用する攻撃は確認していないという。同社ではウェブサイトで回避策を公開しており、調査終了後にセキュリティ更新プログラムの提供なども含め対策を講じる予定。
マイクロソフト セキュリティ アドバイザリ (951306)
http://www.microsoft.com/japan/technet/security/advisory/951306.mspx
マイクロソフト
http://www.microsoft.com/japan/
(Security NEXT - 2008/04/18 )
ツイート
PR
関連記事
「FortiOS」脆弱性や不正コード混入「Githubアクション」の悪用に注意喚起 - 米政府
SAP、3月の月例パッチを公開 - 新規アドバイザリ21件を公開
サーバ製品「HPE Cray XD670」の管理ソフトに深刻な脆弱性
「Apache Tomcat」の脆弱性攻撃が発生 - 「WAF」回避のおそれも
「Microsoft Edge」にアップデート - Chromiumの脆弱性修正を反映
「Chrome」のGPU脆弱性修正、WebKit関連のゼロデイ脆弱性と判明
「Junos OS」に定例外アップデート - ゼロデイ脆弱性を修正
「Cisco IOS XR」に複数の脆弱性 - アップデートで修正
Adobe、アドバイザリ7件を公開 - 脆弱性39件を解消
「Adobe Acrobat/Reader」に深刻な脆弱性 - アップデートが公開